CertiK explica seu posicionamento sobre hacking ético, Kraken admite devolução integral dos fundos

A CertiK, empresa de segurança detracinteligentes, continua afirmando que suas ações contra a corretora Kraken foram éticas e que buscava estimar a extensão total das falhas de segurança. Os testadores também alegam ter devolvido todos os fundos integralmente e não ter extorquido a Kraken. 

A equipe da CertiK elaborou uma nova declaração para refutar algumas alegações anteriores sobre a Kraken. Os testadores negaram os pedidos de recompensa, afirmando que sua prioridade era corrigir a vulnerabilidade que permitia imprimir fundos em uma conta. 

Leia: Kraken recupera US$ 3 milhões em meio a críticas crescentes contra a Certik

Todos os fundos retirados provinham das carteiras frias da Kraken e nenhuma conta de usuário foi afetada. As moedas foram devolvidas com base nos cálculos e registros de transações da CertiK. 

Perguntas e respostas sobre as recentes operações white hat da CertiK-Kraken:

1. Algum usuário real perdeu fundos?
Não. Criptomoedas foram criadas do nada e nenhum ativo de usuário real da Kraken esteve diretamente envolvido em nossas atividades de pesquisa.

2. Nos recusamos a devolver os fundos?
Não. Em nossa comunicação com…

— CertiK (@CertiK) 20 de junho de 2024

A ação mais controversa da CertiK incluiu registros de envio de fundos para a Tornado Cash . A empresa de mistura de criptomoedas já havia sido alvo de sanções do Departamento do Tesouro dos EUA, que proibiu pessoas domiciliadas nos EUA de interagirem com ela.

A CertiK está ciente do uso do Tornado Cash e incluiu as transferências como prova de sua exploração. Anteriormente, a CertiK também traco uso do Tornado Cash como parte de explorações mais antigas. Um dos principais focos da CertiK continua sendo a auditoria detracinteligentes, que frequentemente contêm falhas lógicas semelhantes que levam à criação ilimitada de tokens.

A abordagem da CertiK à pirataria informática ética deixou os observadores apreensivos, visto que pequenas quantias foram enviadas diretamente para a Tornado Cash para testar a vulnerabilidade. Algumas etapas do processo de teste na Kraken foram vazadas nas redes sociais antes que a Kraken finalmente informasse a CertiK sobre a real dimensão da falha. 

A questão da recompensa por bugs não foi discutida, mas a CertiK continua afirmando que não precisou de uma recompensa para devolver os fundos. Até o momento, a equipe de segurança da Kraken não anunciou nenhuma recompensa para a CertiK. 

A Kraken admite ter recebido todos os fundos

A CertiK gerou saldos na plataforma centralizada da Kraken e realizou saques em nome dessas contas. 

As alegações da Kraken de que a CertiK apresentava retornos imprecisos foram as mais controversas. No entanto, isso foi refutado alguns dias depois. O Diretor de Segurança da Kraken, Nick Percoco, anunciou que os fundos foram totalmente devolvidos, descontadas as taxas de transação. 

Atualização: Podemos agora confirmar que os fundos foram devolvidos (menos uma pequena quantia perdida em taxas). https://t.co/cHkjPt3m2A

— Nick Percoco (@c7five) 20 de junho de 2024

A contabilidade da CertiK reportou saques apenas de ETH, USDT e XMR, enquanto a Kraken também alegou que 155.818,44 MATIC foram sacados, em diferentes criptomoedas. Os saques foram estimados em cerca de US$ 3 milhões, embora a CertiK tenha usado uma pequena quantia para comprovar a exploração da vulnerabilidade. 

Uma análise mais aprofundada da exploração mostrou que a CertiK gerou saldos inexistentes MATIC , mas as transações falharam e nenhum fundo saiu das carteiras frias da Kraken. O MATIC gerado foi apenas uma exploração interna que não resultou na transferência de tokens Polygon reais. 

#Certik : À primeira vista, parece que a exploração da vulnerabilidade do Certik consiste em:
1. Criar um contrato trac depositar fundos nele;
2. Gerar o evento LogFeeTransfer()
; 3. A @krakenfx verifica o LogFeeTransfer() em seus endereços de depósito e não parece verificar se os MATIC realmente existem . pic.twitter.com/QI4bdXJdbz

-Naïm Boubziz (@BrutalTrade) 20 de junho de 2024

Em alguns casos, a presença de fundos pode ser simulada, visto que outros protocolos já foram atacados com empréstimos relâmpago. 

A CertiK afirmou que as explorações aumentaram novamente em junho, com mais de US$ 30 milhões roubados de aplicativos e protocolos. Esse valor não inclui ataques contra carteiras individuais.

A Tornado Cash continua em operação anos após as sanções

O misturador Tornado Cash ainda facilita explorações, pois os fundos ficam impossíveis detracapós passarem por ele. Mesmo com o bloqueio de carteiras e endereços, nada impede que hackers misturem ETH e enviem para novas carteiras desconhecidas. 

Leia também: Grupo por trás do processo Tornado Cash perde para o Tesouro dos EUA

Desde 2022, a Tornado Cash tem recursos limitados, mas o serviço continua operacional. 

O fundador do Tornado Cash, Alexey Pertsev, foi condenado em maio de 2024, podendo pegar anos de prisão. No entanto, as sanções e proibições não impedem ninguém de usar o serviço de mixagem, que não afeta jurisdições fora dos EUA.

Algumas criptomoedas, como o USDC, incluíram todos ostracdo Tornado Cash em suas listas negras. Quaisquer fundos enviados para essestracnão podem ser recuperados. O USDC também é conhecido por sua capacidade centralizada de congelar moedas. Para a Kraken, a possibilidade de saques para um endereço detracdo Tornado Cash também representava uma grande vulnerabilidade. A maioria dos produtores de tokens opta por não exercer controle sobre seus tokens, deixando-os vulneráveis ​​a roubo e irrecuperáveis ​​por meio de mistura. 

---

Reportagem Cryptopolitan de Hristina Vasileva